Les contrats de services reliés à la sécurité informatique: éviter les pièges Conférence Insight : Sécurité informatique Les 14 et 15 janvier 2008 Me Charles Morgan

2 Présentation Profil de risque: sécurité informatique Obligations contractuelles et statutaires Les situations contractuelles Les clauses clés

3 Profil de risque: sécurité informatique

4 Modalités de travail non traditionnelles Pénurie d’employés compétents dans le domaine des technologies de l’information Transition d’une conservation des documents papier à une conservation sous forme électronique des documents Transition des ordinateurs centraux (main frame) à l’architecture ouverte Augmentation de la présence sur le Web; augmentation de la largeur de bande

5 Profil de risque: sécurité informatique Monoculture du système d’exploitation de Microsoft Augmentation fulgurante des communications par courriel/Internet Augmentation de l’utilisation des services fournis par des tiers et/ou dépendance envers des fournisseurs de service (hébergement de données, traitement, IPA et impartition des technologies de l’information) Augmentation du nombre d’intrus (expérimentaux, malveillants, locaux et étrangers)

6 À quel coût? La Computer Emergency Readiness Team (CERT), financée par le Department of Defence des États-Unis comptabilise les incidents concernant la cybersécurité: 2002 : incidents (en un an) Mars 2007 : incidents (en un mois!) Les logiciels malveillants et les virus ont entraîné des dépenses de 169 milliards $ US à 204 milliards $ US pour les entreprises en 2004 Coûts occasionnés par les pourriels en 2005 : États- Unis (17 milliards $ US); Royaume-Uni (2,5 milliards $ US) et Canada (1,6 milliard $ US) Voir le rapport du British North-American Committee sur la cyberattaque : ort.pdf

7 Exemple? En avril 2007, l’Estonie a subi pendant trois semaines des attaques entraînant un refus de service envers les éléments clés de son infrastructure – le gouvernement, les services bancaires et les entreprises les plus importantes En décembre 2007, une banque canadienne a perdu un disque dur contenant des renseignements confidentiels concernant clients au cours d’un transfert de données de Montréal à Toronto

8 La décision TJX  Rapport conjoint du Commissariat à la protection de la vie privée du Canada et de l’Alberta publié le 25 septembre 2007 concernant l’intrusion dans le réseau de TJX (Winners, HomeSense) touchant les renseignements personnels d’environ 45 millions d’utilisateurs de cartes au Canada, aux États-Unis, à Puerto Rico, au Royaume-Uni et en Irlande.  Les renseignements personnels consultés lors des intrusions (qui ont eu lieu de 2002 à 2006) comprenaient des données des comptes de cartes de crédit et des données concernant les cartes de débit (sauf au Canada), ainsi que les numéros d’identification de permis de conduire et autres numéros d’identification provinciaux, noms et adresses connexes, que TJX avait recueillis dans le cadre des opérations de retour de marchandise sans reçu.

9 La décision TJX  Les trois questions clés de ce rapport :  TJX avait-elle un motif raisonnable pour conserver les renseignements personnels touchés par la brèche?  TJX conservait-elle les renseignements conformément à la LPRPDE et à la PIPA?  TJX avait-elle mis en place des mesures de sécurité raisonnables afin de protéger les renseignements personnels qu’elle conservait?

10 TJX avait-elle mis en place des mesures de sécurité raisonnables? « On détermine le nature délicate des renseignements personnels en procédant à une évaluation des préjudices et des risques. Certains types de renseignements personnels peuvent plus facilement être utilisés à des fins préjudiciables ou servir à la fraude que d’autres types de renseignements. […] Vu la nature des renseignements personnels auxquels ont eu accès les pirates, le nombre de personnes touchées et le temps écoulé avant que ne soit découvert l’intrusion, le préjudice pourrait être très grave. […] En outre, en raison de la brèche, des personnes ont pu vivre des niveaux plus élevés d’anxiété. » « On a habituellement recours à des exigences législatives pour établir des normes minimales en matière de conduite. Le fait que le chiffrement figure dans la liste des mesures de protection au principe de la LPRPDE laisse croire qu’il s’agit d’une mesure de protection bien établie. […] Selon nous, le risque d’une brèche était prévisible en raison de la quantité de renseignements personnels de nature délicate conservés et du fait que l’organisation ayant établi les normes de l’industrie avait déterminé les faiblesses du protocole de chiffrement WEP. Les renseignements auraient pu être séparés, et les systèmes, mieux surveillés. Par conséquent, TJX n’a pas respecté les dispositions relatives aux mesures de protection de la LPRPDE et de la PIPA. »

11 Obligations contractuelles et statutaires

12 Fondement de la responsabilité légale Violation d’un contrat Obligations de confidentialité Obligations contractuelles relatives à la protection de la vie privée Obligations contractuelles relatives à la sécurité Acceptation contractuelle des risques Négligence Non respect d’une obligation de diligence due à une personne avec qui l’on a un « lien spécial » Associés Clients Fournisseurs

13 Fondement de la responsabilité Violation des obligations statutaires Canada : LPRPDE (fédéral), Loi sur la protection des renseignements personnels dans le secteur privé (Québec), Personal information protection Acts (Colombie-Britannique et Alberta) États-Unis : Sarbanes-Oxley, California SB 1386, Gramm-Leach-Bliley (GLBA) et Health Insurance Portability and Accountability Act (HIPAA) Recours collectifs Visent tout ce qui précède Un petit problème peut devenir important

14 LPRPDE Mesures de sécurité 4.7 : Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité : Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés : La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés : Les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l'accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l'usage de mots de passe et du chiffrement : Les organisations doivent sensibiliser leur personnel à l'importance de protéger le caractère confidentiel des renseignements personnels : Au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d'y avoir accès.

15 Gramm-Leach-Bliley § Protection of nonpublic personal information (a) Privacy obligation policy: It is the policy of the Congress that each financial institution has an affirmative and continuing obligation to respect the privacy of its customers and to protect the security and confidentiality of those customers’ nonpublic personal information. (b) Financial institutions safeguards: In furtherance of the policy in subsection (a) of this section, each agency or authority described in section 6805 (a) of this title shall establish appropriate standards for the financial institutions subject to their jurisdiction relating to administrative, technical, and physical safeguards—6805(a) (1) to insure the security and confidentiality of customer records and information; (2) to protect against any anticipated threats or hazards to the security or integrity of such records; and (3) to protect against unauthorized access to or use of such records or information which could result in substantial harm or inconvenience to any customer.

16 California, SB 1386 SEC. 2. Section is added to the Civil Code, to read: (a) Any agency that owns or licenses computerized data that includes personal information shall disclose any breach of the security of the system following discovery or notification of the breach in the security of the data to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person. The disclosure shall be made in the most expedient time possible and without unreasonable delay, consistent with the legitimate needs of law enforcement, as provided in subdivision (c), or any measures necessary to determine the scope of the breach and restore the reasonable integrity of the data system. g) For purposes of this section, "notice" may be provided by one of the following methods: (1) Written notice. (2) Electronic notice, if the notice provided is consistent with the provisions regarding electronic records and signatures set forth in Section 7001 of Title 15 of the United States Code. (3) Substitute notice, if the agency demonstrates that the cost of providing notice would exceed two hundred fifty thousand dollars ($250,000), or that the affected class of subject persons to be notified exceeds 500,000, or the agency does not have sufficient contact information. Substitute notice shall consist of all of the following: (A) notice when the agency has an address for the subject persons. (B) Conspicuous posting of the notice on the agency's Web site page, if the agency maintains one. (C) Notification to major statewide media.

17 Normes de sécurité ISO BS 7799 : la première partie prévoit un aperçu d’une politique en matière de sécurité BS 7799 : la deuxième partie prévoit la certification La certification dure trois ans et elle est contrôlée périodiquement L’intégrité, la confidentialité et la disponibilité sont des caractéristiques de la sécurité de l’information 11 zones de contrôle

18 Vérifications ICCA 5970 et SAS 70 (Type II) Des vérifications semblables qui définissent les normes professionnelles utilisées par les vérificateurs indépendants pour évaluer rigoureusement les contrôles internes des organismes de services. Ces programmes comportent des exigences précises pour les fournisseurs de service qui gèrent les données des clients et mettent un fort accent sur les domaines de respect, de sécurité et d’accès. La norme ICCA 5970 est une norme canadienne administrée par l’Institut Canadien des Comptables Agréés La norme SAS 70 est essentiellement l’équivalent américain élaboré par l’American Institute of Certified Public Accountants.

19 Autres Normes de sécurité Information Security Forum (ISF), « Standard of good practice », mise à jour en février North America Electric Reliability Council (NERC) : p. ex. la norme NERC Permanent.htmlhttp:// Permanent.html Control Objectives for Information and related Technology (COBIT), norme dévéloppée par Information Systems Audit and Control Association (ISACA) Information Systems Audit and Control Association L’obtention d’une certification peut faciliter l’obtention d’une assurance en matière de cybersécurité

20 Les situations contractuelles

21 Les situations contractuelles Contrats de vérification de réseau (évaluation de vulnérabilité) Contrats de service pour renforcer la sécurité du réseau existant (coupe-feu, chiffrement) Contrats de surveillance de réseau et de détection d’intrusion Impartition du traitement de données, des services de réseaux, de l’hébergement de données et partage de réseau

22 Les clauses clés

23 Les clauses clés La définition des normes des sécurité normes et niveau des services sécurité matérielle, sécurité logicielle chiffrement (coût par rapport au risque) « normes de l’industrie » ou définition restreinte, détaillée? droit de modifier les normes (traitement des ordres de modification) Clause de confidentialité séparation matérielle et logicielle des renseignements confidentiels employés visés par une entente de non-divulgation, accès en fonction de la nécessité Clauses de protection des renseignements personnels les « renseignements confidentiels » ne sont pas assimilables à des « renseignements personnels » Droit de vérification vérificateur indépendant droit d’accès aux lieux droit d’enquête en cas d’incident de sécurité Obligation de collaborer en cas d’enquête par les autorités gouvernementales

24 Les clauses clés Classification des dommages dommages directs ou indirects? p. ex. perte de données?; dommages directs subis par les clients?; manquement aux déclarations et garanties? Responsabilité illimitée manquement à l’obligation de confidentialité et aux obligations de respect de la vie privée? le fournisseur de service devrait-il devenir votre « assureur »? Exclusion de la responsabilité dommages indirects Limite de responsabilité qu’elle est la répartition indiquée du risque? Assurance examiner les exclusions prévues dans les polices en ce qui concerne la cybersécurité, la perte de données, etc. couverture des biens incorporels?

25 Préjudice occasionné à la cote d’estime Nota : l’attribution du risque à un tiers fournisseur de services ne remplace pas la mise en œuvre de pratiques, de politiques, de contrôles et de formation appropriés à l’interne pour éviter les atteintes à la sécurité et pour gérer et atténuer les pertes en cas d’incident de sécurité

26 Merci

Vancouver P.O. Box 10424, Pacific Centre Suite 1300, 777 Dunsmuir Street Vancouver (Colombie-Britannique) V7Y 1K2 Tél. : Téléc. : Calgary Suite 3300, 421 – 7th Avenue SW Calgary (Alberta) T2P 4K9 Tél. : Téléc. : Toronto Box 48, Suite 4700 Toronto Dominion Bank Tower Toronto (Ontario) M5K 1E6 Tél. : Téléc. : Ottawa The Chambers Suite 1400, 40 Elgin Street Ottawa (Ontario) K1P 5K6 Tél. : Téléc. : Montréal Bureau , rue De La Gauchetière Ouest Montréal (Québec) H3B 0A2 Tél. : Téléc. : Québec Le Complexe St-Amable 1150, rue de Claire-Fontaine, 7 e étage Québec (Québec) G1R 5G4 Tél. : Téléc. : Royaume-Uni et Europe 5 Old Bailey, 2 e étage Londres, Angleterre EC4M 7BA Tél. : +44 (0) Téléc. : +44 (0)